Rechtliche Sicherheit bei Open-Source-Beiträgen

the next big thing  –  54 Kommentare

Wer Software unter einer Open-Source-Lizenz veröffentlicht, erhält gelegentlich Beiträge von der Community. Was zunächst nach einem Gewinn für beide Seiten klingt, kann später unter Umständen zu rechtlichen Problemen führen. Wie lässt sich das vermeiden?

In Deutschland ist Code urheberrechtlich geschützt. Das bedeutet, dass der Urheber – also Entwicklerin oder Entwickler – über die Rechte an Code verfügt und daher unter anderem entscheiden kann, wie und unter welchen Bedingungen Code verwendet werden darf. Als Besonderheit gilt, dass das Urheberrecht nicht übertragbar ist.

Damit Unternehmen, die Software entwickeln, auf der rechtlich sicheren Seite sind, wird der Anspruch an den geschriebenen Code üblicherweise im Rahmen des Arbeitsvertrags geregelt: Die Mitarbeiter räumen dem Arbeitgeber ein regelmäßiges Nutzungsrecht ein, gemäß UrhG §43. Auf dem Weg erhalten Unternehmen die Garantie, den Code auch nach dem Ende des Arbeitsverhältnisses verwenden zu können, ohne Gefahr zu laufen, mit Forderungen wie der Zahlung von Lizenzgebühren konfrontiert zu werden.

Anders verhält es sich, wenn Software unter einer Open-Source-Lizenz veröffentlicht wird, und man dann einen Beitrag von der Community erhält. Was zunächst erfreulich ist und nach einem Gewinn für beide Seiten klingt, kann später unter Umständen zu rechtlichen Problemen führen – dann nämlich, wenn der Urheber sein Recht geltend macht.

Im schlimmsten Fall kann das dazu führen, dass ein seit langer Zeit integrierter relevanter Beitrag wieder entfernt werden muss. Das erscheint vielen zwar abwegig, doch kann eine solche Situation tatsächlich rasch auftreten.

Abhilfe schafft ein Vertrag zwischen dem Unternehmen und dem Urheber des Beitrags, ein sogenanntes Contributor License Agreement (CLA). Ein CLA räumt dem Unternehmen ein Nutzungsrecht ein, sodass die Verwendung des Codes rechtlich abgesichert ist. Wer Open Source nachhaltig betreiben will, kommt um einen solchen Vertrag nicht herum.

Wie bei allen rechtlichen Themen gilt, dass man einen CLA nicht selbst schreiben oder aus verschiedenen Quellen kopieren, sondern fachkundige anwaltliche Beratung in Anspruch nehmen sollte.

Der reine Besitz eines CLAs genügt allerdings noch nicht, da er von jedem Urheber vor der Annahme des Beitrags unterzeichnet werden muss. Das bringt einen gewissen Aufwand mit sich, der sich im Idealfall automatisieren lässt.

Eine sehr elegante Lösung für das Problem ist der "CLA assistant" von SAP. Der in der Cloud bereitgestellte kostenlose Dienst bietet CLA as a Service und kann sich zu dem Zweck in GitHub einklinken: Sobald ein Pull-Request gestellt wird, prüft der Assistant, ob der jeweilige Urheber den CLA bereits unterzeichnet hat oder nicht.

Falls nicht, wird die Annahme des Pull-Requests mit dem Aufforderung verweigert, zunächst den CLA zu unterzeichnen.

Unternehmen müssen sich auf dem Weg lediglich um die initiale Konfiguration kümmern, alles weitere funktioniert dann automatisch. Der CLA assistant kann ganze Organisationen verwalten, aber auch für einzelne Repositories individuell konfiguriert werden.

tl;dr: Wer Open-Source-Beiträge von der Community annehmen will, braucht einen Vertrag, der die Nutzung aus rechtlicher Sicht regelt. Einen solchen Vertrag nennt man Contributor License Agreement (CLA). Das Unterzeichnen lässt sich mit Werkzeugen wie CLA assistant von SAP automatisieren.